Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В Kubernetes Image Builder забыли сменить заводские пароли

23/10/24

critical-kubernetes-image-builder-flaw-gives-ssh-root-v0-x6ln-yJkZJznSV9yLAKdN-PZuO-p1XG0gNlaIFlo9ic

Критическая уязвимость в Kubernetes Image Builder открывает злоумышленникам доступ к узлам виртуализации с правами root – фактическими, административными. Баг под индексом CVE-2024-9486 получил оценку 9,8 балла по шкале CVSS. Как выясняется, при использовании Image Builder для формирования образов высвечиваются «заводские» реквизиты доступа.

Образы виртуальных машин, созданные с использованием платформы виртуализации Proxmox, не деактивируют эти реквизиты, что открывает возможность для доступа к ним с максимальными привилегиями через SSH. Это передаёт CNews.

Кластеры Kubernetes данная уязвимость затрагивает только в том случае, если использовалась комбинация Image Builder и Proxmox.

В качестве промежуточной меры рекомендуется отключить аккаунты, осуществляющие сборку виртуальных машин. Для полного решения проблемы потребуется пересобрать проблемные образы, используя обновленную версию Image Builder (0.1.38), которая заменяет предустановленные реквизиты случайно сгенерированными паролями, которые функционируют только в процессе сборки образа. По окончании процесса аккаунт, осуществляющий сборку, отключается.

Темы:УгрозыпаролиKubernetes
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...